Da ich keine meiner Demo Umgebungen auf Server 2019 migrieren wollte habe ich eine Neueinrichtung vorgenommen. In diesem Artikel ist die Einrichtung einer Active Directory Umgebung zusammengefasst. 

Grundsätzlich kann diese Anleitung auch als Basis für ein Active Directory das im Produktivbetrieb eingesetzt wird verwendet werden.

Bei Windows Server 2019 hat sich auf den ersten Blick nicht viel geändert. Microsoft bietet die Aufzeichnung eines Webinar zu dem Thema an.

Anmerkung: Zur Netztrennung zwischen meinen Demoumgebungen nutze ich eine virtuelle pfsense.

Vorbereitungen

Die Hardwareanforderungen an eine Domain Controller sind gering. In meinem Fall begnügt sich der Server mit 2GB Ram und 2 CPU Kernen.

Während der Installation und den Windows Updates gebe ich ihm mehr Arbeitsspeicher und CPU-Kerne damit es flotter vorangeht.

Beim zweiten Domain Controller bietet es sich an den Server im Core Modus zu installieren. Dieser lässt sich problemlos in Server Manager integrieren und von dort Verwalten. 

Obacht, die Vorauswahl bei der Installation steht auf Core Installation. Die grafische Oberfläche kann nicht wie bei Server 2016 nachträglich installiert werden.

Hier die Bilderstrecke der Installation

• 

• 

• 

• 

• 

• 

• 

• 

• 

• 

• 

• 

• 

• 

• 

Nach der Installation aktualisieren wir den Server mit allen vorhandenen Windows Updates.

Bevor der Server zum Domain Controller hochgestuft werden kann vergeben wir eine Statische IP-Adresse und geben ihm einen „sprechenden Namen“ z.B. „ADS01“

• 

• 

Active Directory

Bevor man beginnt sollte man sich Gedanken über einen Sinnvollen Namen Gedanken machen. Dazu gibt es einen Artikel von André Pflaum. Microsoft beschreibt die Namenskonventionen für NetBIOS und DNS-Hostnamen in diesem Artikel.

Gehen wir von dem Fall aus das unser Unternehmen ACME die öffentliche Domain acme.com verwendet. In diesem Fall kann man es wie folgt aufbauen:

• ADS-Domäne: intern.acme.com
• NetBios: intern

Im zweiten Fall hat unsere Firma Stahlmöbel Bauer die öffentliche Domain stahlmöbel-bauer-gmbh.de. Dann wäre ein Sinnvoller Aufbau

• ADS-Domaine: int.stahlmoebel-bauer-gmbh.de
• NetBios: bauer

Im zweiten Beispiel habe ich den NetBios-Namen verändert.

Edit: Ich habe einige Nachfragen zu dem Thema erhalten. Die beiden Beispiele sollten lediglich aufzeigen das der NetBios Name verändert werden kann. Ich persönlich bevorzuge es das Active Directory ohne direkten Bezug zum Unternehmen zu verwenden. Wer wegen einer Umfirmierung ein AD nur wegen des Namens neu machen musste kann das sicher Nachvollziehen. In den beiden Beispielen muss man mit einer Splitbrain-DNS Konfiguration arbeiten. Das macht die Verwaltung zwar aufwendiger. Als „Problem“ würde ich es nicht bezeichnen.

In der erstem Bilderserie habe ich die Installation der Active Directory Rolle zusammengefasst. Hier wird der Assistent „durchgeklickt“. Den Haken bei „Zielserver automatisch neu starten“ kann man sich sparen. Der Server benötigt bei der Installation der Rolle keinen Neustart.

• 

• 

• 

• 

• 

• 

• 

• 

• 

• 

• 

• 

• 

In der zweiten Bilderserie Stufen wir den Server zum Domain Controller hoch. Dieser Schritt wird im Server Manager durchgeführt.
Anmerkung: „DCPromo“ gibt es seit Server 2012 nicht mehr.

Die Pfadeinstellungen für den NTDS- und Sysvol-Ordner belassen wir bei den Standardeinstellungen. Es ist Grundsätzlich denkbar diese auf eine  Partition zu legen. 

Das DSRM Wiederherstellungskennwort muss dokumentiert und sicher verwahrt werden. Es wird im Wiederherstellungsfall benötigt.
Anmerkung: Es lässt sich im laufenden Betrieb mit ntdsutil ändern.

• 

• 

• 

• 

• 

• 

• 

• 

• 

• 

• 

• 

• 

• 

• 

• 

Damit ist das hochstufen zum Domain Controller abgeschlossen. Wir können nun die nächsten Punkte angehen.

DNS Konfigurieren

Hier unterscheiden wir zwischen DNS-Client Einstellungen und DNS-Server Einstellungen. Zuerst die DNS-Client Einstellungen 

Best Practice ist, beide DNS-Server „über Kreuz“ einzutragen. In meinem Fall ist ADS01 192.168.1.10 und ADS02 192.168.1.11. Bei ADS01 wird ADS02 als Primärer DNS-Server eingetragen und umgekehrt bei ADS02. Als zweite IP-Adresse dann die eigne. Zusätzlich wird als dritte IP die localhost Adresse hinterlegt.

An diese Stelle wird kein Eintrag zu einem öffentlichen DNS-Server hinterlegt!

Kommen wir zu den Einstellungen des DNS-Server. Die Grundeinstellungen für einen DNS-Server habe ich bereits in einem vorangegangen Artikel beschrieben.

In meinem Fall  nutze ich eine Split-Brain DNS Konfiguration. Das macht mich zu einen flexibel, bedeutet aber auch einen doppelten Verwaltungsaufwand intern bzw. extern.

Wir erstellen eine neue Authoritative Zone für scarymachines.de mit einem Hosteintrag für www.

• 

• 

• 

• 

• 

• 

• 

• 

• 

• 

• 

• 

Danach können wir eine Abfrage mit nslookup auf die Adresse www.scarymachines.de durchführen- Hier sollte die IP unseres Webservers zurückgegeben werden. Alle weiteren Adressen z.B. Subdomains müssen nun in dieser Zone gepflegt werden.

DHCP Konfigurieren

Ein DHCP Server wird nicht für den Betrieb eines Active Directory benötigt. Ich werde einen entsprechenden Artikel nachreichen und hier verlinken.

Zeitserver Konfigurieren

Einer der „Klassiker“ sind falsch oder nicht konfigurierte Zeitdienste.

Eine der 5 FSMO-Rollen, der PDC-Emulator ist als Zeitgeber für alle Mitglieder der Domain verantwortlich. Dieser selbst sollte die Zeit mit einer externen Quelle abgleichen z.B. der Physikalisch-Technische Bundesanstalt. Sie ist in Deutschland für die Offizielle Uhrzeit verantwortlich.
Anmerkung: Das ist im Einheiten- und Zeitgesetz – EinhZeitG geregelt.

Sicherheitstechnisch kann man einen NTP-Server z.B. über die Firewall bereitstellen. Damit kann man einen offenen Port nach außen sparen.

Die Konfiguration der Zeitquelle erfolgt mit w32tm. Ich habe hier die Server der Physikalisch-Technische Bundesanstalt verwendet.

w32tm /config /manualpeerlist:“ptbtime1.ptb.de,ptbtime2.ptb.de,ptbtime3.ptb.de“ /syncfromflags:manual /reliable:yes /update

Auch hier habe ich einige Screenshots bereitgestellt.

Active Directory Standort und Dienste

Oft sehe ich das man sich nicht die Mühe macht den Standort der Domain anzupassen. Das finde ich schade da es nur ein paar Sekunden dauert und zur Konfiguration des AD dazugehört. „Default-First-Site-Name“ sieht auch nicht sehr schick aus…

Wir benennen die Site lediglich um. Hier biete sich der Ortsname an. Bei Firmen im gleichen Ort mit mehreren Standorten z.B. der Straßenname oder die Funktion des Standort (Vertrieb/Logistik). Nach dem Umbenennen hinterlegen wir das Subnetz. 

Im Anschluss prüfen wir per Shell mit nltest /dsgetsite (NLTEST). Ob der Standort korrekt ausgegeben wird.

Im DNS-Server wird es danach so angezeigt

BPA Ausführen

Gerne wird der Best Practice Analyzer belächelt. Verstehe ich nicht. Microsoft bietet hier die ein Tool das auf bekannte Konfigurationsfehler prüft. Ich nutze die Fehler und Warnungen als Denkanstoß.

Active Directory Papierkorb aktivieren

Werde ich in einem eigenen Artikel nachreichen.

Active Directory Design

Über das Design haben wir uns hoffentlich vorher Gedanken gemacht. Hier gibt es mehrere Ansätze.

Anmerkung: Trennt die OUs nach User, Abteilungen, Standort, Clients und Server. Damit lässt sich in einer Testumgebung sehr gut arbeiten.

Für Testumgebungen kann mit der Webseite von Helge Klein oder mit Fake Name Generator realistische Benutzerkonten mit Zusatzinformationen nach Wunsch erstellt werden.

 

Gruppenrichtlininen erstellen

Regel Nr. 1 es wird niemals unter keinen Umständen in der „Default Domain Policy herumgepfuscht!

Um neben Windows auch Applikationen z.B. Browser, Adobe Reader usw. Steuern zu können wird ein Central Store benötigt und entsprechende ADMX-Vorlagen. Eine gute Sammlung zu ADMX-Templates stellt die Webseite getadmx zur Verfügung. Ich nutze um Windows Einstellungen zu prüfen den Dienst Group Policy Search. Oder das von Microsoft bereitgestellte Excel Dokument „Group Policy Settings Reference Spreadsheet“.

Auch hier habe ich einige Screenshots bereitgestellt.

Active Directory Standort und Dienste

Oft sehe ich das man sich nicht die Mühe macht den Standort der Domain anzupassen. Das finde ich schade da es nur ein paar Sekunden dauert und zur Konfiguration des AD dazugehört. „Default-First-Site-Name“ sieht auch nicht sehr schick aus…

Wir benennen die Site lediglich um. Hier biete sich der Ortsname an. Bei Firmen im gleichen Ort mit mehreren Standorten z.B. der Straßenname oder die Funktion des Standort (Vertrieb/Logistik). Nach dem Umbenennen hinterlegen wir das Subnetz. 

Im Anschluss prüfen wir per Shell mit nltest /dsgetsite (NLTEST). Ob der Standort korrekt ausgegeben wird.

Im DNS-Server wird es danach so angezeigt

BPA Ausführen

Gerne wird der Best Practice Analyzer belächelt. Verstehe ich nicht. Microsoft bietet hier die ein Tool das auf bekannte Konfigurationsfehler prüft. Ich nutze die Fehler und Warnungen als Denkanstoß.

Active Directory Papierkorb aktivieren

Werde ich in einem eigenen Artikel nachreichen.

Active Directory Design

Über das Design haben wir uns hoffentlich vorher Gedanken gemacht. Hier gibt es mehrere Ansätze.

Anmerkung: Trennt die OUs nach User, Abteilungen, Standort, Clients und Server. Damit lässt sich in einer Testumgebung sehr gut arbeiten.

Für Testumgebungen kann mit der Webseite von Helge Klein oder mit Fake Name Generator realistische Benutzerkonten mit Zusatzinformationen nach Wunsch erstellt werden.

 

Gruppenrichtlininen erstellen

Regel Nr. 1 es wird niemals unter keinen Umständen in der „Default Domain Policy herumgepfuscht!

Um neben Windows auch Applikationen z.B. Browser, Adobe Reader usw. Steuern zu können wird ein Central Store benötigt und entsprechende ADMX-Vorlagen. Eine gute Sammlung zu ADMX-Templates stellt die Webseite getadmx zur Verfügung. Ich nutze um Windows Einstellungen zu prüfen den Dienst Group Policy Search. Oder das von Microsoft bereitgestellte Excel Dokument „Group Policy Settings Reference Spreadsheet“.